File di Riunioni False Utilizzate in Campagna di Spionaggio Informatico contro l’India

Gli hacker di APT36 dal Pakistan sono stati scoperti nell’uso di file di scorciatoie armati, phishing, malware e furto di 2FA per attaccare i sistemi BOSS Linux in India.

Il gruppo di hacker con base in Pakistan APT36, noto anche come Transparent Tribe, ha avviato una nuova operazione di cyber-spionaggio contro i sistemi del governo indiano, secondo quanto riferito dalle ricerche di CYFIRMA.

Il gruppo ha creato un malware progettato per il sistema operativo BOSS Linux dell’India, dimostrando la loro crescente capacità di adattarsi a diversi ambienti.

L’attacco inizia con email di spear phishing contenenti un file chiamato “Meeting_Notice_Ltr_ID1543ops.pdf_.zip.” Una volta aperto, rivela un falso file di collegamento chiamato “Meeting_Ltr_ID1543ops.pdf.desktop.” Anche se sembra un innocuo PDF, il file è programmato per scaricare segretamente software dannosi.

“Il file ‘.desktop’ mostrato è stato creato per mascherarsi come un normale collegamento PDF ma contiene una serie di comandi incorporati nella sua linea Exec= che vengono eseguiti automaticamente e sequenzialmente non appena il file viene lanciato. Questo permette all’attaccante di compiere azioni nascoste mantenendo la vittima all’oscuro,” hanno spiegato i ricercatori.

Il malware utilizza metodi ingannevoli per rimanere non rilevato, aprendo un PDF autentico in Firefox che fa credere agli utenti che non sia successo nulla di sospetto.

Il programma nascosto opera in modalità stealth rubando dati e si imposta per riavviarsi ogni volta che il computer viene acceso.

I file malevoli scoperti da CYFIRMA si collegano a due nuovi domini registrati “securestore[.]cv” e “modgovindia[.]space” che fungono da server di comando e controllo per gli aggressori. Attraverso questi server, gli hacker possono trasmettere comandi e ottenere dati rubati mantenendo il loro accesso alle reti governative.

CYFIRMA afferma che APT36 opera come un gruppo sponsorizzato dallo stato, attivo da oltre dieci anni, con come obiettivi principali le istituzioni governative indiane, insieme a organizzazioni militari e diplomatiche.

Hacker News riporta che questa campagna mostra la crescente sofisticazione di APT36. Oltre a prendere di mira Linux BOSS, il gruppo ha anche sviluppato malware per Windows nella stessa campagna, dimostrando un approccio dual-platform.

Il codice maligno svolge attività di ricognizione del sistema mentre esegue falsi controlli anti-debugging e anti-sandbox per evitare il rilevamento, secondo quanto riportato da CloudSEK. Gli attacchi hanno portato al dispiegamento del backdoor Transparent Tribe Poseidon, che consente agli aggressori di rubare le credenziali e condurre una sorveglianza a lungo termine, oltre al movimento laterale della rete all’interno delle reti governative, come riportato dai ricercatori di Hunt.io.

Hacker News nota che l’attività si verifica poco dopo che Transparent Tribe è stato colto nel mirino delle organizzazioni di difesa indiane attraverso portali di accesso falsificati progettati per rubare le credenziali e persino Kavach, il sistema di autenticazione a due fattori (2FA) del governo indiano.

Le vittime che inseriscono la loro email e i codici Kavach sui siti di phishing consegnano inconsapevolmente i dati di accesso direttamente agli aggressori.

CYFIRMA ha notato: “La capacità di APT36 di personalizzare i suoi meccanismi di consegna in base all’ambiente operativo della vittima aumenta così le sue possibilità di successo, mantenendo l’accesso persistente alle infrastrutture governative critiche ed eludendo i controlli di sicurezza tradizionali.

CYFIRMA ha avvertito che “l’analisi indica una campagna coordinata di cyber-spionaggio attribuita ad APT36, che sfrutta file .desktop armati per colpire gli ambienti BOSS Linux all’interno delle entità governative indiane.”